É possível configurar a autenticação de certificado x509 no Unified Access Gateway para permitir que os clientes façam a autenticação com certificados em sua área de trabalho ou dispositivos móveis ou usem um adaptador de cartão inteligente para autenticação.

A autenticação com base no certificado é baseada no que o usuário tem (a chave privada ou o cartão inteligente) e no que a pessoa sabe (a senha para a chave privada ou o PIN do cartão inteligente). A autenticação de cartão inteligente fornece a autenticação de dois fatores verificando o que a pessoa possui (o cartão inteligente) e o que a pessoa sabe (o PIN). Os usuários finais podem utilizar os cartões inteligentes para efetuar logon em um sistema operacional de área de trabalho remota do Horizon e para acessar aplicativos ativados por cartão inteligente, como um aplicativo de e-mail que utiliza o certificado para assinar e-mails e provar a identidade do remetente.

Com este recurso, a autenticação de certificado de cartão inteligente é realizada em oposição ao serviço do Unified Access Gateway. O Unified Access Gateway usa a asserção SAML para comunicar informações sobre o certificado X.509 de usuário final e o PIN do cartão inteligente ao servidor Horizon.

É possível configurar a verificação de revogação de certificado para evitar que os usuários com certificados de usuário revogados façam a autenticação. Os certificados são frequentemente revogados quando um usuário deixa uma organização, perde um cartão inteligente ou muda de um departamento para outro. Há suporte para a verificação de revogação de certificados com as listas de certificados revogados (certificate revocation lists, CRLs) e com o Protocolo de status de certificado on-line (Online Certificate Status Protocol, OCSP). Uma CRL é uma lista de certificados revogados publicados pela CA que emitiu os certificados. O OCSP é um protocolo de validação de certificado utilizado para obter o status de revogação de um certificado.

É possível definir ambos CRL e OCSP na configuração do adaptador de autenticação de certificado. Ao configurar os dois tipos de verificação de revogação de certificado e a caixa de seleção Usar CRL em caso de falha do OCSP for habilitada, o OCSP será verificado primeiro e, se o OCSP falhar, a verificação de revogação fará fallback para a CRL.

Observação:

A revogação de verificação não utilizará o OCSP se a CRL falhar.

Observação:

Para o VMware Identity Manager, a autenticação sempre passará pelo Unified Access Gateway para o serviço do VMware Identity Manager. Será possível configurar a autenticação do cartão inteligente para que seja realizada no appliance do Unified Access Gateway somente se o Unified Access Gateway estiver sendo utilizado com o Horizon 7.